Aplique o BeyondCorp Enterprise a recursos na nuvem

Antes de começar

Antes de tornar seus apps e recursos contextuais, você precisará:

1. Se você ainda não tiver contas de usuário do Cloud Identity na sua organização, crie algumas contas do Cloud Identity.

2. Determine um recurso que você quer proteger. Configure um dos itens a seguir se você não tiver um recurso.

   • Um aplicativo da Web executado por trás de um balanceador de carga HTTPS no Google Cloud. Isso inclui aplicativos da Web, como aplicativos do App Engine, aplicativos locais e aplicativos em execução em outra nuvem.
   • Uma máquina virtual no Google Cloud.

3. Determine os principais a que você quer conceder e limitar o acesso.

Se você estiver interessado em proteger aplicativos do Google Workspace, consulte a visão geral do BeyondCorp Enterprise no Google Workspace.

Como proteger apps e recursos com o IAP

O Identity-Aware Proxy (IAP) estabelece uma camada central de reconhecimento de identidade para apps e recursos acessados por HTTPS e TCP. Isso significa que você pode controlar o acesso em cada aplicativo e recurso individual em vez de usar firewalls no nível da rede.

Proteja um aplicativo do Google Cloud e todos os recursos dele selecionando um dos seguintes guias:

• Ambiente padrão e flexível do App Engine
• Compute Engine
• Google Kubernetes Engine

Também é possível estender o IAP para ambientes que não são do Google Cloud, como infraestruturas locais ou outras nuvens. Para saber mais, consulte o guia Como proteger aplicativos no local.

Para mais informações, consulte a documentação do IAP.

Recursos de máquina virtual

Para controlar o acesso a serviços administrativos, como SSH e RDP, nos back-ends, defina permissões de recursos de túnel e crie túneis que encaminham o tráfego TCP por meio do IAP para instâncias de máquina virtual.

Para proteger uma máquina virtual, consulte o guia Como proteger máquinas virtuais.

Como criar um nível de acesso com o Access Context Manager

Depois de proteger seus aplicativos e recursos com o IAP, é hora de definir políticas de acesso mais avançadas com níveis de acesso.

O Access Context Manager cria níveis de acesso. Os níveis de acesso podem limitar o acesso com base nos atributos a seguir:

• Sub-redes de IP
• regiões
• Dependência do nível de acesso
• Principais
• Política do dispositivo: observe que a Verificação de endpoints precisa ser configurada.

Crie um nível de acesso seguindo o guia Como criar um nível de acesso.

Como aplicar níveis de acesso

Um nível de acesso não entra em vigor até que seja aplicado em uma política de Gerenciamento de identidade e acesso (IAM) de recursos protegidos pelo IAP. Nesta etapa, você adiciona uma Condição do IAM ao papel do IAP usado para conceder acesso ao recurso.

Para aplicar seu nível de acesso, consulte como aplicar níveis de acesso.

Depois de aplicar seu nível de acesso, os recursos estarão protegidos com o BeyondCorp Enterprise.

Como ativar a confiança e a segurança do dispositivo com a Verificação de endpoints

Para reforçar ainda mais a segurança dos recursos protegidos pelo BeyondCorp Enterprise, aplique atributos de controle de acesso e confiança baseados em dispositivo com níveis de acesso. A Verificação de endpoint ativa esse controle.

A Verificação de endpoints é uma extensão do Chrome para dispositivos Windows, Mac e Chrome OS. O Access Context Manager faz referência aos atributos do dispositivo coletados pela Verificação de endpoint para impor o controle de acesso refinado com níveis de acesso.

Siga o Guia de início rápido da Verificação de endpoints para configurar a Verificação de endpoints na sua organização.